Mail-Wurm nutzt erneut Sicherheitsleck im Internet Explorer

Der Wurm Lirva.A versendet E-Mails mit wechselnden Betreffzeilen sowie Nachrichtentexten. Auch die Bezeichnung des Datei-Anhangs ändert der Wurm, so dass man diesen nicht ohne weiteres erkennt. Allerdings besteht der 32,766 Byte große Anhang immer aus einer ausführbaren exe-Datei. Bei Aktivierung des Wurms trägt dieser sich in die Autoexec.bat sowie die Registry ein, so dass der Schädling automatisch bei jedem Rechnerstart geladen wird. Wenn der Rechner nicht mit dem Internet verbunden ist, holt das der Wurm nach, indem er die Standard-Einwahl von Windows verwendet.

Zur Verbreitung verwendet der Wurm einen installierten ICQ-Client, das IRC-Netzwerk und einen konfigurierten Mail-Client. Zur Sammlung von E-Mail-Adressen durchsucht Lirva.A den Eingangsordner und das Sent-Verzeichnis von Outlook sowie das Windows-Adressbuch. Ferner werden auch Dateien mit den Endungen .dbx, .eml, .htm, .html, .idx, .mbx, .nch, .shtml, .tbb sowie .wab nach passenden E-Mail-Adressen durchforstet. Für die Verbreitung über ICQ versendet sich der Unhold an alle in ICQ gelisteten Kontakte. Über mIRC versendet sich der Wurm an alle Besucher eines IRC-Channels, in dem sich der infizierte Nutzer befindet.

Außerdem legt sich der Wurm zur Verbreitung unter einem zufälligen Dateinamen im KaZaA-Download-Verzeichnis ab. Zur weiteren Verbreitung sucht der Wurm nach offenen Netzwerklaufwerken mit dem Buchstaben C und kopiert sich auf dieses Laufwerk. Auch dort verewigt sich der Wurm dann in der Autoexec.bat, um sich automatisch beim Neustart des Rechners zu laden, sofern darauf Windows 95, 98, 98 SE oder Millennium läuft.

Der Wurm nutzt eine wohl bei vielen Anwendern immer noch nicht geschlossene Sicherheitslücke im Internet Explorer 5.0 und 5.5, für die seit über 1,5 Jahren ein passender Patch bereitsteht. Viele E-Mail-Programme wie etwa Outlook und Outlook Express nutzen die Rendering Engine des Internet Explorer zur Ansicht von HTML-Mails. Wenn dann der Patch für den Internet Explorer 5.01 oder 5.5 nicht installiert ist, genügt bereits die Vorschau einer infizierten HTML-Mail, damit der Dateianhang unbemerkt vom Anwender automatisch ausgeführt wird, was den eigenen Rechner mit dem Wurm infiziert. Ohne diesen Automatismus muss der Anwender erst den Dateianhang starten, um den Schädling zu aktivieren.

Im Wurm steckt außerdem eine Trojaner-Komponente, die versucht, alle Kennwörter der Einwahldialoge von Windows 95, 98, 98SE und Millennium auf dem befallenen System zu protokollieren und diese über eine eigene SMTP-Engine an den Autor des Wurms zu versenden. Schließlich ruft der Wurm am 7., 11. und 24. jeden Monats die Website www.avril-lavigne.com auf und zeigt eine grafische Animation auf dem Windows-Desktop.